Sicherheitsprüfung und Release v0.6
7. März 2013Mailvelope v0.6 wurde heute mit umfassenden Änderungen veröffentlicht, die vorwiegend die Sicherheit betreffen. Ende Dezember 2012 begann Cure53 mit der Durchführung einer Prüfung und bewertete die Umsetzung der Sicherheit und Aspekte des Sicherheitsdesigns bei Mailvelope. Im Laufe von zwei Monaten erarbeiteten wir mit Cure53 neue Konzepte, die darauf zielten, den Verlust vertraulicher Benutzerdaten zu verhindern, ohne dabei die Benutzererfahrung zu gefährden. Der vollständige Penetrationstestbericht kann hier eingesehen werden.
Die Highlights dieses neuen Release sind u. a.:
- Mailvelope beinhaltet jetzt einen externen Editor für die Erstellung von Nachrichten. Das Verfassen und Verschlüsseln der E-Mails erfolgt damit vollständig isoliert vom E-Mail-Anbieter.
- In allen Dialogfenstern wird ein Sicherheitstoken angezeigt, über den die Herkunft des Dialogs klar zugeordnet werden kann.
- Zwei Optionen für die Anzeige verschlüsselter Nachrichten: auf der Seite des E-Mail-Anbieters oder in einem separaten Pop-up-Fenster.
- Passwörter für private Schlüssel können im Speicher abgelegt werden, wodurch der Prozess der Entschlüsselung beschleunigt wird.
Weitere Einzelheiten können Sie dem Abschnitt "Sicherheit" der FAQ entnehmen.
Wir möchten uns beim Open Technology Fund (RFA) für die finanzielle Unterstützung für die Sicherheitsprüfung bedanken. Ohne diese Mittel wären die Optimierungen im neuen Release von Mailvelope nicht möglich gewesen. Wir bedanken uns ebenfalls bei Mario Heiderich und Krzysztof Kotowicz von Cure53 für ihre Unterstützung.